Okta SSO 的来源配置 - Amazon CloudWatch
与 Okta SSO 集成使用 Okta SSO 进行身份验证配置 CloudWatch 管道支持的开放式网络安全架构框架事件类

Okta SSO 的来源配置

与 Okta SSO 集成

CloudWatch 管道使用 Okta 系统日志 API 从 Okta SSO 租户那里检索身份验证、API 活动、检测调查发现和实体管理事件。

使用 Okta SSO 进行身份验证

要读取日志,该管道需要通过 Okta SSO 租户进行身份验证。对于 Okta SSO,身份验证是使用通过 Okta API Services 应用程序的 OAuth 2.0 客户端凭证(JWT 断言)流程执行。

生成用于身份验证的私有/公有秘钥对

  • 使用管理员账户登录 Okta 管理员控制台。

  • 导航到“应用程序”→“应用程序”页面。

  • 选择现有的 API Services 应用程序或新建应用程序。

  • 在“常规”→“客户端凭证”下,上传公有密钥或生成新密钥。此秘钥对将用于使用已签名的 JWT 断言进行身份验证。

  • 确保为应用程序分配了必需的 OAuth 范围,特别是:okta.logs.read

  • “管理员角色”→“编辑分配”→“角色”(选择“只读管理员”)

  • 复制应用程序的客户端 ID。

  • 将 client_id 和 client_secret(私有密钥)存储在 AWS Secrets Manager 中:client_idclient_secret(private_key)(用于签署 JWT 断言的 RSA 私有密钥)

  • 识别您的 Okta 组织 URL 并在管道中进行配置(例如 https://yourdomain.okta.com)。

配置完成后,管道可以使用 Okta 的 OAuth 2.0 客户端凭证(JWT 断言)流程进行身份验证,并开始从 Okta 系统日志 API 检索审计日志事件。

配置 CloudWatch 管道

要将管道配置为读取日志,请选择 Okta SSO 作为数据来源。填写必填信息,例如 Okta 域名。创建并激活管道后,Okta SSO 中的审计日志数据将立即开始流入选定的 CloudWatch Logs 日志组。

支持的开放式网络安全架构框架事件类

此集成支持 OCSF 架构版本 1.5.0 和 Okta 事件,这些事件映射到“身份验证”(3002)、“API 活动”(6003)、“检测调查发现”(2004)和“实体管理”(3004)。

身份验证包含以下事件:

  • user.authentication.auth

  • user.authentication.auth_via_AD_agent

  • user.authentication.auth_via_IDP

  • user.authentication.auth_via_LDAP_agent

  • user.authentication.auth_via_inbound_SAML

  • user.authentication.auth_via_inbound_delauth

  • user.authentication.auth_via_iwa

  • user.authentication.auth_via_mfa

  • user.authentication.auth_via_radius

  • user.authentication.auth_via_richclient

  • user.authentication.auth_via_social

  • user.authentication.authenticate

  • user.authentication.sso

  • user.session.start

  • user.session.impersonation.grant

  • app.oauth2.signon

  • user.session.impersonation.initiate

  • user.authentication.universal_logout

  • user.session.clear

  • user.session.end

  • user.authentication.slo

  • user.authentication.universal_logout.scheduled

  • user.session.expire

  • user.session.impersonation.end

  • user.authentication.verify

  • policy.evaluate_sign_on

  • user.mfa.attempt_bypass

  • user.mfa.okta_verify

  • user.mfa.okta_verify.deny_push

  • user.mfa.okta_verify.deny_push_upgrade_needed

  • user.mfa.factor.activate

  • user.mfa.factor.deactivate

  • user.mfa.factor.reset_all

  • user.mfa.factor.suspend

  • user.mfa.factor.unsuspend

  • user.mfa.factor.update

  • user.session.impersonation.extend

  • user.session.impersonation.revoke

  • user.session.access_admin_app

  • user.session.context.change

  • application.policy.sign_on.deny_access

  • user.authentication.auth_unconfigured_identifier

  • user.authentication.dsso_via_non_priority_source

  • app.oauth2.invalid_client_credentials

  • policy.auth_reevaluate.fail

显示更多显示更少

API 活动包含以下事件:

  • oauth2.claim.created

  • oauth2.scope.created

  • security.trusted_origin.create

  • system.api_token.create

  • workflows.user.table.view

  • app.oauth2.as.key.rollover

  • app.saml.sensitive.attribute.update

  • system.api_token.update

  • oauth2.claim.updated

  • oauth2.scope.updated

  • security.events.provider.deactivate

  • system.api_token.revoke

  • oauth2.claim.deleted

  • oauth2.scope.deleted

检测调查发现包含以下事件:

  • security.attack.start

  • security.breached_credential.detected

  • security.request.blocked

  • security.threat.detected

  • security.zone.make_blacklist

  • system.rate_limit.violation

  • user.account.report_suspicious_activity_by_enduser

  • user.risk.change

  • user.risk.detect

  • zone.make_blacklist

  • security.attack.end

实体管理包含以下事件:

  • iam.role.create

  • system.idp.lifecycle.create

  • application.lifecycle.create

  • group.lifecycle.create

  • user.lifecycle.create

  • policy.lifecycle.create

  • zone.create

  • oauth2.as.created

  • event_hook.created

  • inline_hook.created

  • pam.security_policy.create

  • iam.resourceset.create

  • pam.secret.create

  • analytics.reports.export.download

  • app.audit_report.download

  • system.idp.lifecycle.read_client_secret

  • app.oauth2.client.read_client_secret

  • pam.secret.reveal

  • pam.service_account.password.reveal

  • support.org.update

  • system.idp.lifecycle.update

  • application.lifecycle.update

  • policy.lifecycle.update

  • user.account.update_profile

  • user.account.update_password

  • user.account.reset_password

  • group.profile.update

  • zone.update

  • group.privilege.grant

  • group.privilege.revoke

  • iam.resourceset.bindings.add

  • user.account.privilege.grant

  • user.account.privilege.revoke

  • pki.cert.lifecycle.revoke

  • iam.resourceset.update

  • iam.role.update

  • pam.security_policy.update

  • oauth2.as.updated

  • event_hook.updated

  • inline_hook.updated

  • pam.secret.update

  • iam.resourceset.bindings.delete

  • iam.role.delete

  • pam.security_policy.delete

  • policy.lifecycle.delete

  • user.lifecycle.delete.initiated

  • application.lifecycle.delete

  • group.lifecycle.delete

  • zone.delete

  • oauth2.as.deleted

  • event_hook.deleted

  • inline_hook.deleted

  • iam.resourceset.delete

  • pam.secret.delete

  • device.enrollment.create

  • credential.register

  • credential.revoke

  • policy.lifecycle.activate

  • system.feature.enable

  • event_hook.activated

  • inline_hook.activated

  • system.feature.disable

  • application.lifecycle.activate

  • user.lifecycle.activate

  • zone.activate

  • oauth2.as.activated

  • system.log_stream.lifecycle.activate

  • policy.lifecycle.deactivate

  • security.authenticator.lifecycle.deactivate

  • application.lifecycle.deactivate

  • user.lifecycle.deactivate

  • zone.deactivate

  • event_hook.deactivated

  • inline_hook.deactivated

  • system.log_stream.lifecycle.deactivate

  • oauth2.as.deactivated

  • user.account.lock

  • user.account.lock.limit

  • user.lifecycle.suspend

  • device.lifecycle.suspend

  • user.account.unlock

  • user.lifecycle.unsuspend

  • device.lifecycle.unsuspend

  • user.lifecycle.reactivate

显示更多显示更少